为我的网站创建了一个具有各种端点的FlashRestful API。一些端点需要用户的用户名和密码来获取用户特定的数据。我目前正在API调用中将这些作为参数发送,但我认为这是不安全的,那么如何安全地执行此操作?
有很多不同的方法可以做到这一点,但人们普遍认为,使用可以撤销的令牌是比使用用户名/密码组合更安全的身份验证方式。这是由于如果用户名/密码被泄露,则无法收回。
我建议阅读Miguel的以下博客。他解释了密码验证和令牌。
Miguel Grinberg
您可以创建一个单独的api路由,作为登录名,并在成功登录时返回sessionID/令牌,该令牌可用于对您提到的端点进行身份验证。
javascript python java c# php android html jquery c++ css ios sql mysql arrays asp.net json python-3.x ruby-on-rails .net sql-server django objective-c excel regex ruby linux ajax iphone xml vba spring asp.net-mvc database wordpress string postgresql wpf windows xcode bash git oracle list vb.net multithreading eclipse algorithm macos powershell visual-studio image forms numpy scala function api selenium